A Autoridade de Segurança Alimentar e Económica (ASAE) é a autoridade responsável pela verificação do cumprimento dos deveres preventivos em matéria de prevenção de branqueamento de capitais impostos pela Lei n.º 83/2017, de 18 de agosto, às entidades não financeiras não sujeitas ao controlo de uma outra autoridade sectorial.

Com vista a definir a forma e os procedimentos necessários ao cumprimento desses deveres, a ASAE elaborou o Regulamento n.º 314/2018, de 25 de maio, em 2018. Quatro anos volvidos, este regulamento será objeto de revisão. O projeto do novo regulamento foi publicado pelo Aviso n.º 3240/2022, de 17 de fevereiro, encontrando-se atualmente em fase de consulta pública aos interessados.

De entre as principais novidades, destacam-se as seguintes:

Disposições gerais 

• O projeto de regulamento inclui as definições de “Cliente”, “Intermediário”, “Mandatário”, “Comerciante” e “Bem de elevado valor unitário” e a definição de “Contrato celebrado à distância” passa a incluir as situações em que apenas a entrega do bem ou serviço é feita presencialmente.
• O âmbito de aplicação do Regulamento é alargado, aplicando-se também a: (i) auditores, contabilistas certificados, consultores fiscais e qualquer pessoa que se comprometa a prestar ajuda material, assistência ou consultoria em matéria fiscal; (ii) outras pessoas que armazenem, negociem ou ajam como intermediários no comércio de obras de arte; e (iii) comerciantes que transacionem bens de elevado valor unitário, nomeadamente ouro e outros metais preciosos, pedras preciosas, antiguidades, aeronaves, embarcações e veículos automóveis.

Dever de controlo

• As entidades sujeitas à supervisão da ASAE devem aprovar e manter atualizado um manual de prevenção de branqueamento de capitais e de financiamento do terrorismo. Do manual deve constar a identificação e avaliação dos riscos concretos de branqueamento de capitais e de financiamento do terrorismo associados à atividade desenvolvida pela entidade obrigada, os procedimentos internos de controlo para mitigação dos riscos identificados e os procedimentos de conservação e tratamento de dados.
• Os trabalhadores devem ter permanente acesso para uso e consulta do manual de prevenção de branqueamento de capitais e de financiamento do terrorismo.
• Deve ser designado um responsável (que deve ser um elemento da direção de topo ou equiparado) pela implementação das políticas internas e pelo controlo do cumprimento do quadro normativo relativo à prevenção do branqueamento de capitais e do financiamento do terrorismo.
• As políticas, procedimentos e controlos adotados são monitorizados pela entidade, mediante avaliações periódicas e independentes, reduzidas a escrito, (i) a cada dois anos civis (para entidades que empreguem até 249 trabalhadores) ou (ii) a cada ano civil (para entidades com 250 ou mais trabalhadores).

Dever de identificação e diligência

• Há um dever específico de identificação e diligência quando: (i) se estabeleçam relações de negócio; (ii) se realizem transações ocasionais de montante igual ou superior a €15.000, independentemente de a transação ser realizada através de uma única operação ou de várias operações; (iii) se suspeite que as operações, independentemente do seu valor e de qualquer exceção ou limiar, possam estar relacionadas com o branqueamento de capitais ou com o financiamento do terrorismo; e/ou (iv) existam dúvidas sobre a veracidade ou a adequação dos dados de identificação dos clientes.
• Naqueles casos, a identificação de clientes deve ser efetuada através do preenchimento obrigatório e completo, de maneira clara e legível, de um modelo próprio da ASAE – Modelo 1 –, disponível para utilização no seu sítio de Internet, e do qual deverá constar a descrição pormenorizada do bem que é transacionado ou do serviço prestado, de maneira a tornar eficaz a rastreabilidade das operações realizadas e respetivos intervenientes.
• Em caso de preenchimento incompleto do Modelo 1 pelas entidades, o dever de identificação e diligência considerar-se-á incumprido.

Dever de formação

• Para além dos conteúdos já previstos, os conteúdos programáticos da formação podem também incidir sobre o tratamento e livre circulação de dados pessoais em matéria de branqueamento de capitais e do financiamento do terrorismo e sobre guias de orientação ou recomendações emitidas pela ASAE.
• Deve haver uma ação de formação a cada dois anos civis para entidades com até 249 trabalhadores e a cada ano civil para entidades com 250 ou mais trabalhadores.
• Quando são admitidos trabalhadores com funções relevantes na prevenção do branqueamento de capitais e do financiamento do terrorismo, deve ser-lhes proporcionada formação adequada no prazo máximo de 180 dias após a admissão.
• As entidades obrigadas têm de manter os registos da formação atualizados e completos, dos quais deve constar, pelo menos, a denominação, data de realização, entidade formadora, horas de formação, natureza interna ou externa da formação, o material didático de suporte, os nomes e a função dos formandos, internos e externos e, caso exista, a avaliação final dos formandos.

Dever de recusa

• As entidades obrigadas devem recusar iniciar relações de negócio, realizar transações ocasionais ou efetuar outras operações, quando não obtenham as informações sobre a natureza, o objeto e a finalidade da relação de negócio.
• Quando não seja possível cumprir com os procedimentos de identificação, diligência e atualização, as entidades obrigadas devem (i) recusar iniciar relações de negócio, realizar transações ocasionais ou efetuar outras operações; (ii) colocar termo às relações já estabelecidas e (iii) atuar, sempre que possível, em articulação com as autoridades judiciárias ou policiais competentes.

No âmbito da consulta pública do projeto de regulamento, os contributos devem ser remetidos à ASAE através do endereço de correio eletrónico Supervisao.bcft@asae.pt.

Ver pdf Partilhar

A MACEDO VITORINO convida-o a preencher o segundo de um conjunto de questionários do nosso programa MVCOMPLIANCE. Este segundo questionário aborda especificamente as questões relevantes no âmbito do Compliance Laboral. 

Ao preencher este questionário, conseguirá identificar as medidas que a sua empresa tem em curso e as que estão por adotar, bem como as respetivas consequências. Este questionário não substitui, todavia, a realização de um diagnóstico à sua empresa para uma adequada gestão de riscos.

A MACEDO VITORINO agradece o seu interesse e a sua participação nesta iniciativa. Contamos consigo para nos acompanhar nesta verdadeira transformação.
Para responder ao questionário (não demorará mais de 2 minutos), clique aqui.

A MACEDO VITORINO convida-o a preencher o primeiro de um conjunto de questionários do nosso programa MVCOMPLIANCE. Arrancamos com um conjunto de questões de âmbito transversal, que incluem matérias de responsabilidade social, branqueamento de capitais, “compliance” laboral, privacidade e proteção de dados.

Ao preencher este questionário, conseguirá identificar as medidas que a sua empresa tem em curso e as que estão por adotar, bem como as respetivas consequências. Este questionário não substitui, todavia, a realização de um diagnóstico à sua empresa para uma adequada gestão de riscos.

A MACEDO VITORINO agradece o seu interesse e a sua participação nesta iniciativa. Contamos consigo para nos acompanhar nesta verdadeira transformação.
Para responder ao questionário (não demorará mais de 2 minutos), clique aqui.

A Comissão Nacional de Proteção de Dados (CNPD) aplicou coima exemplar no valor total de 1.25 milhões de euros ao Município de Lisboa por partilha ilícita de dados pessoais de manifestantes com diversas entidades, incluindo embaixadas de países estrangeiros.

Este processo foi iniciado na sequência da comunicação pelo Município de dados de ativistas à embaixada da Rússia em Portugal e ao Ministério dos Negócios Estrangeiros russo.

Em julho de 2021, a CNPD viria a acusar o Município. De acordo com a acusação, esta não teria sido, todavia, a primeira vez que o Município procedeu à comunicação de dados pessoais com embaixadas de outros países, comprometendo, assim, a segurança e direito à privacidade dos visados, em violação do Regulamento Geral de Proteção de Dados (RGPD). Estimou-se, através da realização de uma auditoria feita ao Município, que, no total, teriam sido partilhados dados referentes a 52 manifestações, já depois da aplicação do RGPD, em 25 de maio de 2018.

Por estarem em causa “dados especialmente sensíveis”, por revelarem opiniões e convicções políticas, filosóficas ou religiosas, a CNPD considerou que se impunha ao Município de Lisboa, enquanto responsável pelo tratamento, uma conduta diferente e cuidado acrescido, em conformidade com o RGPD.

O Município foi condenado pela prática das seguintes violações do RGPD:

• Violação do princípio da licitude lealdade e transparência;
• Violação do princípio da minimização dos dados;
• Violação do dever de prestar as informações;
• Violação do princípio da limitação da conservação dos dados; e
• Violação da obrigação da realização de uma avaliação de impacto da proteção de dados.

Na sua defesa, o Município requereu a dispensa de aplicação de coimas, com fundamento nas dificuldades financeiras provocadas pela pandemia, o que não foi atendido, ainda que a CNPD tenha tomado em consideração essa situação na determinação do valor das coimas, que teriam sido mais elevadas se os efeitos da pandemia já tivessem sido ultrapassados.

O Município de Lisboa poderá agora recorrer, no prazo de dez dias, da decisão da CNPD para o tribunal administrativo. Quer esta decisão, quer a anterior decisão aplicável ao Hospital do Barreiro, ambas envolvendo entidades públicas e com coimas exemplares, denotam que a CNPD não será complacente com violações ao RGPD.

Ver pdf Partilhar

Foi aprovada a Lei n.º 93/2021, de 20 de dezembro, que estabelece o regime geral de proteção de denunciantes de infrações, que transpõe a ’Diretiva de Whistleblowing’ (Diretiva (UE) 2019/1937 relativa à proteção dos denunciantes) para a ordem jurídica portuguesa.

A publicação desta lei, que, nos termos da Diretiva, deveria ter sido transposta até ao dia 17 de dezembro de 2021, surge no contexto da estratégia anticorrupção aprovada pela Assembleia da República e introduz um elenco muito variado de direitos para os denunciantes e obrigações e procedimentos obrigatórios para as empresas.

Comparativamente à Diretiva de Whistleblowing, o regime desta lei é bastante mais abrangente, como era também expectável tendo em conta que a própria Diretiva determinava que o seu conteúdo apenas fixava requisitos mínimos para o Estados-Membros.

Este regime é aplicável às denúncias em matéria de (i) contratação pública; (ii) mercados financeiros e prevenção do branqueamento de capitais e financiamento do terrorismo; (iii) segurança dos alimentos para consumo humano e animal, saúde animal e bem-estar animal; (iv) saúde pública; (v) proteção da privacidade e dos dados pessoais e segurança da rede e dos sistemas de informação; (vi) criminalidade violenta e organizada, entre outras.

Quanto aos beneficiários da proteção, a lei é clara quando apenas considera como ‘’denunciante’’ as pessoas singulares que denunciem ou divulguem publicamente uma infração com fundamento em informações obtidas no âmbito da sua atividade profissional independentemente da natureza da atividade e do setor em que é exercida.

A atividade profissional não fica limitada às relações laborais em vigor, incluindo relações que já cessaram, negociações pré-contratuais ou processos de recrutamento. Titulares de participações sociais e membros de órgãos sociais de pessoas coletivas, voluntários e estagiários, remunerados ou não remunerados, são apenas alguns dos exemplos de pessoas que podem beneficiar da proteção desta lei.

Para beneficiar da proteção, apenas se exige que o denunciante atue de boa-fé, e tenha fundamento sério para crer que as informações são verdadeiras, no momento da denúncia ou da divulgação pública.

Para além do denunciante, a proteção da lei estende-se àqueles que se relacionam com este, estando abrangidas (i) as pessoas singulares que auxiliem, de forma confidencial, o denunciante no procedimento de denúncia, nomeadamente, os representantes sindicais; (ii) o terceiro que esteja ligado ao denunciante que possa ser alvo de retaliação num contexto profissional; e (iii) as pessoas coletivas ou entidades equiparadas que sejam detidas ou controladas pelo denunciante, para as quais este trabalhe ou com as quais esteja de alguma forma ligado num contexto profissional.

Para efetuar a denúncia, a lei prevê a existência de:

• Canais internos;
• Canais externos (geridos pelas autoridades competentes); e
• Divulgação pública.

Os canais internos de denúncia são obrigatórios para as entidades do setor privado e do setor público que empreguem 50 ou mais trabalhadores e ainda para as pessoas coletivas que desenvolvam a sua atividade nos domínios dos serviços, produtos e mercados financeiros e prevenção do branqueamento de capitais e do financiamento do terrorismo (‘’entidades obrigadas’’). Ficam, porém, excluídas desta obrigação as autarquias locais que, não obstante empregarem 50 ou mais trabalhadores, tenham menos de 10.000 habitantes.

Os canais de denúncia interna têm de obedecer a determinados requisitos: (i) têm de garantir a apresentação e o seguimento seguros de denúncias, a fim de garantir a exaustividade, integridade e conservação da denúncia; (ii) têm de assegurar a confidencialidade da identidade ou o anonimato dos denunciantes e a confidencialidade da identidade de terceiros mencionados na denúncia; e (iii) têm de impedir o acesso de pessoas não autorizadas.

Os canais de denúncia interna podem ser operados: (i) internamente, para efeitos de receção e seguimento de denúncias, por pessoas ou serviços designados para o efeito, ou (ii) externamente, para efeitos de receção de denúncias. Em qualquer dos casos, a lei prevê que deve ser garantida a independência, a imparcialidade, a confidencialidade, a proteção de dados, o sigilo e a ausência de conflitos de interesses.

A apresentação das denúncias poderá fazer-se por escrito, verbalmente ou de ambas as formas. Neste contexto, admite-se enquanto denúncia verbal, aquela que seja efetuada através de mensagem de voz, ou, a pedido do denunciante, em reunião presencial.

O denunciante só pode recorrer a canais de denúncia externa quando: (i) não exista canal de denúncia interna; (ii) o canal de denúncia interna admita apenas a apresentação de denúncias por trabalhadores, não o sendo o denunciante; (iii) tenha motivos razoáveis para crer que a infração não pode ser eficazmente conhecida ou resolvida a nível interno ou que existe risco de retaliação; (iv) quando, embora o denunciante tenha inicialmente apresentado a denúncia internamente, não sejam comunicadas, nos termos legalmente previstos, as medidas previstas ou adotadas na sequência da denúncia; ou (v) a infração constitua crime ou contraordenação punível com coima superior a 50 000 euros.

Por sua vez, a divulgação pública só poderá ocorrer em circunstâncias muito excecionais, nomeadamente quando o denunciante tenha motivos para crer que (i) a infração pode constituir um perigo iminente ou manifesto para o interesse público; que (ii) a infração não possa ser eficazmente conhecida ou resolvida pelas autoridades competentes, atendendo às circunstâncias específicas do caso, ou que (iii) existe um risco de retaliação inclusivamente em caso de denúncia externa; ou (iv) tenha apresentado uma denúncia interna e/ou uma denúncia externa, sem que tenham sido adotadas medidas adequadas nos prazos previstos para o efeito.

Quanto ao procedimento a adotar, as entidades obrigadas devem, no prazo de sete dias após a receção da denúncia, notificar o denunciante da receção e dos requisitos para apresentação de denúncia através de canais externos geridos pelas autoridades competentes e no prazo máximo de três meses comunicar as medidas previstas ou adotadas para dar seguimento à denúncia. Mediante solicitação do denunciante, as entidades obrigadas têm ainda de lhe comunicar o resultado da análise efetuada à denúncia no prazo de quinze dias após a sua conclusão.

Quanto às medidas de proteção do denunciante, a lei estabelece, entre outras, as seguintes garantias:

• Confidencialidade da identidade do denunciante, que só poderá ser revelada por força de uma obrigação legal ou decisão judicial, precedidas de comunicação ao denunciante indicando os motivos da divulgação;
• Proibição de retaliação contra o denunciante, incluindo, para o efeito, a inversão do ónus da prova e a presunção de que determinados atos, como sejam alterações de condições de trabalho ou a aplicação de uma sanção disciplinar, quando praticados até dois anos após a denúncia ou a divulgação pública, são motivados pela denúncia ou divulgação pública.
• Proteção jurídica nos termos gerais, como a proteção para testemunhas em processo penal; e
• Não aplicação de responsabilidade disciplinar, civil, contraordenacional ou criminal nos casos de denúncia ou divulgação pública de infrações feitas de acordo com os requisitos impostos pela lei.

A violação destas regras constitui contraordenação, cujo procedimento compete ao Mecanismo Nacional Anticorrupção, e que podem variar nos seguintes termos:

• Entre € 1.000 a € 25.000 (pessoas singulares) ou € 10.000 a € 250.000 (pessoas coletivas), em caso de contraordenação muito grave, nomeadamente: impedir a apresentação ou não dar seguimento à denúncia; prática de atos retaliatórios; violação do dever de confidencialidade; comunicação ou divulgação pública de informações falsas.
• Entre € 500 a € 12.500 (pessoas singulares) ou de € 1.000 a € 125.000 (pessoas coletivas), em caso de contraordenação grave, nomeadamente: não dispor de canal de denúncia interno ou dispor de um canal interno sem garantias de exaustividade, integridade ou conservação de denúncias ou de confidencialidade da identidade ou anonimato dos denunciantes ou de terceiros mencionados na denúncia, ou sem regras que impeçam o acesso a pessoas não autorizadas; não comunicação ao denunciante do resultado da análise da denúncia, se este a tiver requerido; não dar formação aos funcionários responsáveis pelo tratamento de denúncias; não registar ou não conservar a denúncia recebida pelo período mínimo de cinco anos ou durante a pendência de processos judiciais ou administrativos.

Tendo presente a adaptação aos novos procedimentos e obrigações, a lei prevê um período transitório de 180 dias, pelo que entrará em vigor no dia 18 de junho de 2022. Durante o primeiro semestre de 2022, as empresas deverão preparar-se, estabelecendo um canal de denúncia, que permita a salvaguarda das garantias de confidencialidade, anonimato e independência, previstas na lei, e com procedimentos bem definidos para dar seguimento às denúncias nos prazos legais, sem retaliações.

Ver pdf Partilhar

Com o objetivo de concretizar a Estratégia Nacional Anticorrupção 2020-2024, o regime geral de prevenção da corrupção (RGPCC), aprovado pelo Decreto-Lei n.º 109-E/2021, de 9 de dezembro, entrará em vigor no próximo ano. Entre outras medidas, o regime irá impor a adoção de novas medidas de prevenção da corrupção por entidades públicas e privadas com mais de 50 trabalhadores e criar uma entidade administrativa, o Mecanismo Nacional Anticorrupção (MENAC), com poderes de supervisão e fiscalização no mesmo domínio.

Em particular, ficam sujeitas ao RGPCC as seguintes entidades:

• Pessoas coletivas com sede em Portugal com 50 ou mais trabalhadores;
• Às sucursais em território nacional de pessoas coletivas com sede no estrangeiro com 50 ou mais trabalhadores;
• Serviços e às pessoas coletivas da administração direta e indireta do Estado, das regiões autónomas, das autarquias locais e do setor público empresarial com 50 ou mais trabalhadores;
• Entidades administrativas independentes com funções de regulação da atividade económica dos setores privado, público e cooperativo (incluindo ao Banco de Portugal, mas com algumas exceções).

Da estratégia de combate à corrupção faz parte a implementação, com caráter obrigatório, das seguintes medidas pelas entidades sujeitas:

• Adoção e implementação de um programa de cumprimento normativo composto, pelo menos, por: um plano de prevenção de riscos de corrupção e infrações conexas, um código de conduta, um programa de formação e um canal de denúncias;
• Designação de um elemento responsável pelo cumprimento normativo, o qual deve exercer as suas funções de forma independente, autónoma e permanente;
• Implementação de mecanismos de avaliação do programa de cumprimento normativo;
• Implementação de um sistema de controlo interno proporcional à natureza, dimensão e complexidade da entidade e da atividade por esta prosseguida e que tenha por base modelos adequados de gestão dos riscos, de informação e de comunicação, em todas as áreas de intervenção;
• Adoção de medidas que permitam favorecer a concorrência na contratação pública e eliminar constrangimentos administrativos, desincentivando o recurso ao ajuste direto.

A elaboração do plano de prevenção de riscos de corrupção e infrações conexas, do código de conduta, a criação de um canal de denúncia, bem como a designação dos meios de comunicação e a implementação de um plano de formação obedece a um conjunto de regras específicas previstas no RGPCC, sendo expetável que o MENAC venha a emitir um conjunto de orientações e diretrizes para ajudar as entidades na sua adoção e execução.

Sem prejuízo da responsabilidade civil, disciplinar ou financeira a que as entidades ficarão sujeitas em caso de incumprimento do novo regime, constitui contraordenação punível com coima, nomeadamente:

• A não adoção, implementação, ou falta de algum dos elementos referidos no RGPCC, do plano de prevenção de riscos de corrupção e infrações conexas;
• A não adoção de um código de conduta ou adoção de um código que não tenha em consideração as normas penais referentes à corrupção e às infrações conexas;
• A não implementação de um sistema de controlo interno, nos termos definidos no RGPCC;
• A não elaboração dos relatórios anuais de controlo do plano de prevenção de riscos de corrupção e infrações conexas;
• A não revisão do plano de prevenção de riscos de corrupção e infrações conexas;
• A não revisão do código de conduta.

O incumprimento das medidas referidas em (i) a (iii) acima é punível com coima entre €2.000 a €44.891,91, no caso de pessoas coletivas ou entidades equiparadas, bem como coimas no valor de €.3740,98 no caso de pessoas singulares.

O valor das coimas associadas ao incumprimento das medidas (iv) a (v) acima varia entre €1.000 e €25.000, no caso de pessoa coletiva ou entidade equiparada. Às pessoas singulares é aplicável uma coima no valor de €2.500.00.

A maioria das medidas impostas pelo novo diploma entram em vigor daqui a 180 dias, permitindo, assim, que, durante este período, as empresas se adaptem aos novos deveres e tenham tempo para se preparem para a adoção dos novos instrumentos e procedimentos em sede de prevenção e combate à corrupção.

Ver pdf Partilhar

A Lei n.º 82/2021, de 30 de novembro reforça o controlo e fiscalização do acesso a conteúdos protegidos por direitos de autor e direitos conexos em ambiente digital. Esse controlo e fiscalização ficam a cargo da Inspeção-Geral das Atividades Culturais (IGAC), entidade de supervisão setorial em matéria de direito de autor e direitos conexos.

Encontram-se protegidos pelo direito de autor vários tipos de criações/obras, entre outros: (i) obras literárias como livros, revistas, jornais, conferências, lições, discursos, poemas; (ii) obras dramáticas e dramático-musicais; (iii) obras coreográficas; (iv) composições musicais com ou sem letras; filmes; programas de televisão; (v) obras artísticas como desenhos, pinturas, esculturas, cerâmica, fotografias, artes aplicadas, ilustrações, projetos de arquitetura e frases publicitárias.

O ambiente digital é propício à disponibilização ilícita de conteúdos protegidos, que navegam, de forma rápida, na Internet, o que pode revelar-se de difícil controlo. Essa disponibilização pode ocorrer através de:

• Comunicação, colocação à disposição do público ou armazenamento de conteúdos protegidos, sem autorização dos titulares do direito de autor e dos direitos conexos;
• Disponibilização de serviços ou meios destinados a serem utilizados por terceiros para a violação do direito de autor e dos direitos conexos, ou que se destinem a interferir com o normal e regular funcionamento do mercado de obras e prestações; e/ou
• Disponibilização de serviços que visem neutralizar medidas eficazes de caráter tecnológico para a proteção do direito de autor e dos direitos conexos ou dispositivos de informação para a gestão eletrónica de direitos.

Disto é exemplo recente o caso de partilha, por canais do Telegram, de publicações periódicas e obras cinematográficas/audiovisuais protegidas. Esta prática foi proibida pelo Tribunal da Propriedade Intelectual, que deferiu uma providência cautelar apresentada pela Gedipe - Associação para a Gestão de Direitos de Autor, Produtores e Editores e um dos seus associados a Visapress.

Não é, por isso, coincidência o momento escolhido para a publicação da presente lei, que entra em vigor a 29 de janeiro de 2022, e que define um conjunto de medidas específicas para a remoção de conteúdos ilícitos disponíveis na Internet. De entre essas medidas destacam-se:

• Na sequência de fiscalização da IGAC (por sua iniciativa ou denúncia), o responsável pela disponibilização ilícita de conteúdos protegidos terá 48 horas para fazer cessar e remover o serviço ou conteúdo, após notificação da IGAC;
• Se o prazo de 48 horas não for respeitado, a IGAC notificará os prestadores intermediários de serviço em rede para que procedam à remoção ou para que impossibilitem o acesso aos conteúdos protegidos, por exemplo, através do impedimento de acesso a determinado URL ou sistema de nomes de domínio (DNS) associado, ou, em determinados casos, de acesso a conteúdos disponibilizados por determinado IP.
• Se não for possível identificar o responsável pela disponibilização do conteúdo ou quando o prazo de 48 horas não tenha o efeito útil pretendido, por exemplo, por o conteúdo se encontrar disponível por tempo limitado ou em tempo real, a IGAC notificará diretamente os prestadores intermediários para que procedam à remoção do conteúdo.
• Os prestadores intermediários de serviços em rede devem adotar uma atitude proativa e cooperante com a IGAC: (i) informar, de imediato, a IGAC quando tiverem conhecimento de atividades ilícitas que se desenvolvam por via dos serviços que prestam (em caso de ilicitude manifesta) e (ii) satisfazer os pedidos da IGAC de identificação dos destinatários dos serviços com quem tenham acordos de armazenagem.

Sem prejuízo de outras sanções, a prática de divulgação de conteúdos protegidos por direitos de autor e direitos conexos constitui contraordenação punível com coima que pode ir de €5.000 (cinco mil euros) a €100.000 (cem mil euros).

A decisão final tomada pela IGAC deve ser notificada ao denunciante, ao responsável pelo sítio ou serviço da Internet e ao prestador intermediário de serviços de alojamento, dela cabendo recurso, em primeira instância, para o Tribunal de Propriedade Intelectual, e em segunda instância, para o Tribunal da Relação.

Ver pdf Partilhar

A Comissão Nacional de Proteção de Dados (CNPD) emitiu recentemente o Parecer 2021/143 sobre a Proposta de Lei n.º 111/XIV/2.ª relativa a sistemas de videovigilância. Segundo a CNPD a Proposta, tal como formulada, viola o princípio da proporcionalidade, ao prever um alargamento generalizado dos meios de videovigilância, a sua utilização por forças e serviços de segurança e o acesso em tempo real a esses sistemas por entidades privadas.

A Proposta de Lei pretende alargar não só os meios onde podem ser incorporadas câmaras de vídeo, como bodycams e drones, mas também as finalidades de utilização, não se restringindo ao espaço público e passando a abranger áreas do domínio privado destinadas à circulação de pessoas, veículos, navios e embarcações.

A CNPD entende que há o risco de os meios de vigilância virem a ser utilizados sem qualquer justificação para o seu uso, sem garantia de não discriminação e ausência de critérios que permitam uma utilização adequada e proporcional das tecnologias, nomeadamente através de inteligência artificial. Pense-se, por exemplo, no cenário de os dados recolhidos virem a ser transformados em templates biométricos, possibilitando a monitorização dos cidadãos através do uso de sistemas de reconhecimento facial.

O parecer da CNPD recomenda a alteração da Proposta quanto, entre outros, aos seguintes aspetos:

• A ausência de regras precisas sobre o tratamento de dados e as finalidades do sistema de vigilância, em particular a sua utilização para além do espaço público;
• A videovigilância de propriedades privadas, que não se enquadram com o conceito previsto no artigo 2.º da Proposta, que define a aplicação da videovigilância a “áreas de domínio privado destinadas à circulação de pessoas, veículos, navios e embarcações”;
• A instalação ou utilização de câmaras sem a autorização prévia do membro do Governo, que, no preceito do n.º 5 do artigo 10.º, quanto à utilização de câmaras portáteis apenas frisa que poderão ser utilizadas “quando não seja possível obter em tempo útil autorização”; e
• A utilização de drones sem fixar quaisquer condições ou limites específicos.

Ao tentar colmatar uma lacuna legislativa de quase uma década sobre o avanço e utilização de meios tecnológicos, a Proposta de Lei acaba por ser demasiado genérica num claro atropelo dos direitos fundamentais como o respeito pela vida privada e familiar e proteção de dados pessoais.

Ver pdf Partilhar

No âmbito da situação pandémica causada pela COVID-19, o Governo prorrogou o prazo para entrega dos Planos para a Igualdade de Género relativos a 2020 até ao próximo dia 15 de novembro. O diploma, que estabelece a prorrogação, produziu efeitos a 10 de setembro de 2021.
O Plano deve ser remetido, por email, à Comissão para a Igualdade no Trabalho e no Emprego (“CITE”). As empresas têm ainda de publicar os Planos nos respetivos sítios de Internet.

O Plano para a Igualdade é um instrumento de “compliance” laboral “dinâmico” e de implementação progressiva pelas empresas.
Para garantir a sua correta elaboração e aplicação, as empresas devem seguir as recomendações referentes ao ano anterior, o Guião da CITE, bem como as indicações do novo Portal para a Igualdade no Trabalho e nas Empresas.

As recomendações da CITE versam sobre um conjunto de aspetos e são publicadas no seu sítio de Internet. A análise técnica abrange capítulos diversos, entre os quais:

• caracterização do plano para a igualdade,
• diagnóstico,
• objetivos,
• componentes de intervenção,
• calendário de execução, e 
• acompanhamento e avaliação.

À semelhança de anos anteriores, as empresas devem orientar o Plano para a Igualdade de acordo com o Guia para a Implementação de Igualdade de Género, disponibilizado pela CITE, no qual se encontra incluído o procedimento a seguir.

Recentemente, a CITE disponibilizou ainda um novo Portal para a Igualdade no Trabalho e nas Empresas, cujo objetivo é facilitar a elaboração anual dos Planos para a Igualdade, bem como a verificação do Índice de Igualdade entre Mulheres e Homens pelas entidades empregadoras.

O Portal é uma nova ferramenta que deverá orientar as empresas na seleção das medidas a adotar por forma a obterem um Plano final personalizado de acordo com as especificidades de cada entidade.
Uma vez cuidadosamente preparado, submetido a apreciação da CITE e publicado no sítio de Internet da empresa, o Plano para a Igualdade deve ser objeto de uma monitorização contínua, o que pressupõe que as empresas cumpram com as matrizes específicas divulgadas e objeto de apreciação pela CITE.

Na sequência da prorrogação do prazo para entrega dos Planos para a Igualdade, o prazo para que a CITE se pronuncie sobre os mesmos, através da sua análise técnica e recomendações anuais, sobre os Planos, foi também prorrogado até ao dia 20 de fevereiro de 2022.

Ver pdf Partilhar

Em 2020, segundo a Comissão para a Igualdade no Trabalho e Emprego (CITE), não foram registadas queixas por assédio sexual e foram registadas apenas três por assédio moral no contexto laboral. O número de queixas apresentado (ou a sua ausência) representará, de facto, a realidade? A que se pode dever a atual situação? Boas práticas? Teletrabalho? Falta de confidencialidade quando a queixa é apresentada? Falta de canais de denúncia próprios?

Apesar de não existir uma resposta unívoca, uma coisa parece ser certa: é importante que as empresas implementem um Código de Conduta para Prevenção e Combate ao Assédio no Trabalho. O código de conduta é um dos instrumentos de compliance laboral obrigatório para todas as empresas, independentemente da sua natureza pública ou privada, com número igual a sete trabalhadores, e visa dar a conhecer, evitar, identificar, eliminar e punir situações e comportamentos suscetíveis de consubstanciar assédio no trabalho.

O código de conduta deve ser implementado, sob pena de as empresas ficarem sujeitas a pesadas multas, mas sobretudo deve garantir que:

• Os trabalhadores e os órgãos de topo são responsáveis pelo cumprimento de uma política de tolerância zero relativamente a práticas de assédio; e
• A Entidade Empregadora define uma política interna de tolerância zero, que consagre: (i) o representante da empresa que o trabalhador deve contactar, acreditando ser sujeito a assédio; (ii) o dever de qualquer pessoa denunciar um incidente de assédio; (iii) a proteção dos trabalhadores que denunciem uma situação de assédio, relativamente a formas de retaliação; (iv) a definição de um processo de averiguação e resolução conduzido por trabalhadores com conhecimentos especializados na prática da prevenção e resolução de assédio; (v) as sanções a aplicar; (vi) a existência de uma estratégia de informação e divulgação específica relativa à prevenção e combate ao assédio; (vii) a conceção e implementação de um plano de formação específico sobre questões de assédio.

Para uma correta elaboração do código de conduta, é essencial ter em conta as orientações disponíveis pelas entidades competentes. Ao contrário de outros instrumentos de compliance laboral, a lei não define um prazo mínimo obrigatório para a revisão do código de conduta. De acordo com a CITE, as Entidades Empregadoras devem rever o código sempre que considerem adequado, o que necessariamente implica uma análise crítica da eficácia das medidas adotadas. As empresas não devem, por isso, preocupar-se apenas em ter um documento escrito que cumpra formalmente com a obrigação legal. É exigível a adoção de medidas concretas e regulares que permitam a sua efetivação. Apenas adotando um código simples, de fácil perceção, que cumpra com as orientações das entidades competentes, as empresas conseguirão alcançar o tão desejado objetivo: evitar e denunciar situações de assédio laboral.

Ver pdf Partilhar

O Tribunal da Relação de Guimarães condenou, em acórdão recentemente publicado, uma empresa por assédio moral a trabalhador, o que, não sendo um caso novo (ou tão pouco isolado), é revelador da importância que o «compliance» laboral deve assumir no dia a dia das empresas, através, nomeadamente, da adoção de um conjunto de instrumentos de autorregulação, de que é exemplo o Código de Conduta para Prevenção e Combate ao Assédio no Trabalho.

No caso em análise, o trabalhador, perante a recusa de desempenhar funções incompatíveis com a sua categoria e experiências profissionais, viu o seu posto de trabalho ser transferido para uma sala conhecida por “sala dos queimados”, sem nunca mais lhe ter sido atribuída qualquer tipo de tarefa. Na mesma sala, encontravam-se outros trabalhadores em situação semelhante, que, todavia, acabariam por negociar a cessação da sua relação laboral com a empresa. O trabalhador ficaria, assim, totalmente isolado na referida sala, numa situação de absoluta inatividade, enquanto negociava a cessação da sua relação, o que nunca ocorreu devido às condições propostas, e que o levaria a uma depressão.

O tribunal de recurso, que confirmou a decisão de primeira instância, considerou terem sido desencadeadas práticas de perseguição pela empresa com vista a que o trabalhador abandonasse o seu emprego ou aceitasse uma alteração de funções. Para o tribunal, a situação em causa, que se traduz numa violação do dever de ocupação efetiva, consubstancia uma prática de assédio moral e que justifica a condenação da empresa a indemnizar o trabalhador por danos (no caso, danos morais).

Não se sabe se, no caso, a empresa tinha em vigor um Código de Conduta para Prevenção e Combate ao Assédio no Trabalho, mas, sabe-se, que, a existir ou não, alguma coisa falhou. Sabe-se também que esta decisão revela a necessidade de adoção de um conjunto de boas práticas pelas empresas.

O código de conduta, que constitui um dos instrumentos de «compliance» laboral de implementação obrigatória, é um desses exemplos de boas práticas. O código de conduta visa dar a conhecer, evitar, identificar, eliminar e punir situações e comportamentos suscetíveis de consubstanciar assédio no trabalho. Por assédio, entende-se a prática de um comportamento indesejado com o objetivo ou o efeito de afetar a dignidade da pessoa ou criar um ambiente intimidativo, hostil, degradante, humilhante ou desestabilizador, como é ilustrativo este caso.

A redação do Código de Conduta para Prevenção e Combate ao Assédio no Trabalho deve ser cuidada, sob pena de não cumprir a sua finalidade, que é simultaneamente informativa, preventiva, dissuasora e até, em certa medida, repressiva de práticas semelhantes. Em particular, o código de conduta deve (i) definir claramente o que constitui assédio, (ii) as consequências da adoção desta prática discriminatória, (iii) o que deve ser feito, em caso de uma (potencial) situação de assédio, pelo trabalhador e por terceiros, nomeadamente, (iv) prever a adoção de mecanismos de reporte adequados para o superior hierárquico e departamento de recursos humanos e a sua necessária confidencialidade.

A par de outros instrumentos obrigatórios, o código de conduta deve ser efetivamente implementado tanto no setor privado como no setor público, sob pena de práticas como as descritas no acórdão se repetirem e com consequências negativas para os trabalhadores e para as empresas.

Ver pdf Partilhar

O Tribunal de Justiça da União Europeia (TJUE) voltou a decidir pela inadequação do programa aplicável às transferências de dados entre a União Europeia (UE) e os EUA.

Esta decisão de 16.07.2020 (caso Schrems II) é a sequela de uma anterior decisão do TJUE (de 06.10.2015, caso Schrems I), que invalidou o anterior programa Porto Seguro (“Safe Harbour”). Este programa foi substituído pelo programa Escudo de Proteção (“Privacy Shield”) agora considerado inadequado para assegurar o nível de proteção exigido pelo Regulamento Geral de Proteção de Dados (RGPD). Em contraposição, o TJUE considerou como válida a solução assente em cláusulas contratuais tipo de proteção de dados (CCT) adotadas pela Comissão Europeia para transferências internacionais de dados pessoais.

Esta decisão do TJUE, em sede de reenvio prejudicial, surge na sequência de uma queixa apresentada por M. Schrems. O cidadão austríaco, utilizador do Facebook, fez a denúncia à autoridade de controlo austríaca, no sentido de proibir o Facebook Ireland de transferir os seus dados pessoais para os EUA. Os dados pessoais dos utilizadores do Facebook residentes na UE são transferidos para servidores do Facebook Inc., nos EUA, onde são objeto de tratamento, ao abrigo de CCT. Segundo M. Schrems, as CCT não assegurariam um nível de proteção adequado dos dados pessoais contra atividades de vigilância das autoridades públicas norte-americanas.

Seguindo a Opinião do Advogado-Geral (opinião não vinculativa publicada em 19.12.2019), o TJUE considerou as CCT adequadas. Afirmando que no âmbito da avaliação da adequação do nível de proteção garantido pelo país terceiro, a Comissão Europeia tem em conta, nomeadamente, as vias de recurso administrativo e judicial para os titulares de dados pessoais objeto de transferência.

Já o nível de proteção conferido pelo Escudo de Proteção é posto em causa pelo TJUE, com o fundamento de que as ingerências que resultam dos programas de vigilância das autoridades públicas norte-americanas não estão sujeitas a exigências que garantam, no cumprimento do princípio da proporcionalidade, um nível de proteção jurisdicional equivalente ao do RGPD.

Embora as CCT permaneçam válidas, as organizações que atualmente justifiquem as transferências internacionais de dados em CCT, terão de considerar se, tendo em conta a natureza dos dados pessoais, as finalidades e o contexto do tratamento, e o país de destino, existe um "nível de proteção adequado", tal como exigido pela legislação da UE. Caso contrário, devem considerar adotar garantias adicionais. Já as organizações que justifiquem as transferências internacionais no Escudo de Proteção terão de procurar urgentemente soluções alternativas, tendo, nomeadamente, em conta as derrogações previstas no RGPD (por exemplo, consentimento explícito do titular dos dados, quando a transferência for necessária para a celebração ou execução de um contrato). As CCT, regras vinculativas aplicáveis às empresas, códigos de conduta ou procedimentos de certificação serão outras das soluções alternativas.

Ver pdf Partilhar

No atual contexto da pandemia da doença Covid-19, as empresas questionam-se que medidas de prevenção do contágio entre trabalhadores poderão ser adotadas tendo em vista o regresso progressivo à atividade, nomeadamente se é admissível a recolha de dados relativos à saúde dos seus trabalhadores, incluindo a medição da sua temperatura corporal.

A Comissão Nacional de Proteção de Dados (CNPD) veio pronunciar-se sobre este tema através de uma orientação sobre a recolha de dados de saúde de trabalhadores. A CNPD considera que o empregador não poderá proceder à recolha e registo da temperatura corporal dos trabalhadores, exceto quando recorra a profissionais de saúde no âmbito da medicina no trabalho e mediante justificação escrita.

Ao abrigo do Regulamento Geral de Proteção de Dados (RGPD), a temperatura corporal insere-se numa das categorias especiais de dados – dados de saúde – sujeito a proteção jurídica reforçada. O RGPD proíbe que os empregadores possam recolher ou registar dados de saúde dos trabalhadores, salvo para os efeitos previstos na legislação laboral. O Código do Trabalho prevê que o empregador não poderá exigir ao trabalhador dados de saúde, salvo quando particulares exigências inerentes à natureza da atividade o justifiquem e seja fornecida por escrito a sua fundamentação. Os dados de saúde devem ser prestados perante um médico, que só poderá comunicar ao empregador se o trabalhador está apto para trabalhar.

Partindo de uma interpretação literal desta norma do Código do Trabalho, a CNPD considera que o legislador não transferiu para o empregador uma função que é exclusiva das autoridades de saúde, nem estas delegaram tal função nos empregadores, o que é verdade. Esta norma não foi, todavia, pensada para ser aplicada em situações excecionais, mas num contexto dito “normal” da relação laboral. A aplicação da referida norma é, portanto, discutível neste cenário.

O Ministério do Trabalho já se pronunciou sobre o tema, considerando que a medição da temperatura corporal dos trabalhadores poderá ser viável em determinadas circunstâncias. O Governo deverá, em breve, clarificar o tema, por via legislativa, não sendo de esquecer que compete ao empregador o dever de cuidado, incluindo o dever de zelar pela segurança dos seus trabalhadores no local de trabalho e obviamente com recurso à proporcionalidade.

A título excecional, o RGPD (de aplicação imediata), prevê que o tratamento de dados de saúde é admissível, através de um profissional de saúde (sujeito a sigilo profissional), se esse tratamento for necessário por motivos de interesse público no domínio da saúde pública, nomeadamente para evitar a monitorização de epidemias e da sua propagação, o que é, sem dúvida, o caso. Este é o fundamento que legitimará os empregadores a procederem à recolha da temperatura corporal dos trabalhadores (dentro de determinados condicionalismos). Para situações excecionalíssimas, justificar-se-á a aplicação de regras também elas excecionalíssimas.

Ver pdf Partilhar

O Regulamento Geral de Proteção de Dados (RGPD), aplicável desde 25 de maio de 2018, estabelece as regras relativas ao tratamento de dados pessoais em toda a União Europeia (UE). O RGPD tem como objetivo assegurar um nível coerente e elevado de proteção dos dados pessoais e sem comprometer a livre circulação de dados na UE.

O RGPD revogou a Diretiva 95/46/CE, de 24 de outubro de 1995, em vigor desde 1995, bem com a Lei 67/98, de 26 de outubro de 1998 (anterior lei de proteção de dados pessoais).

Desde agosto último, encontra-se também em vigor a Lei 58/2018, de 8 de agosto de 2019, que assegura a execução do RGPD na ordem jurídica portuguesa (Lei de Execução do RGPD).

Entidades públicas e privadas estão a tomar medidas excecionais para prevenir e mitigar a COVID-19 na UE, não sendo Portugal a exceção. Em Portugal, foi decretado o estado de emergência no passado dia 19 de março e, desde então, já foi prorrogado por duas vezes e permanecerá, pelo menos, em vigor, até ao dia 2 de maio de 2020.

No atual contexto de COVID-19, a Comissão Nacional de Proteção de Dados (CNPD) emitiu:

(a)         Deliberação n.º 2020/170, de 16 de março de 2020, na qual informa que os prazos de resposta aos projetos de deliberação se encontram interrompidos durante o período de estado de emergência, voltando a contar-se novo prazo findo aquele período; e

(b)        Três orientações:

(i)        Orientações de 2 de abril de 2020 sobre a utilização de sistemas de videovigilância e de alarmística no contexto COVID-19, nas quais se salienta que as empresas de segurança privada estão proibidas de exercer atividades que se enquadram no âmbito dos  poderes exclusivos das autoridades judiciárias ou policiais, incluindo o controlo fronteiriço e a prevenção e repressão de crimes em locais públicos;

(ii)       Orientações de 9 de abril de 2020 para os diferentes intervenientes nos tratamentos de dados pessoais efetuados na utilização de tecnologias de suporte ao ensino à distância, uma vez que os estudantes portugueses estão a ter ensino à distância; e

(iii)      Orientações de 17 de abril de 2020 sobre o controlo à distância em regime de teletrabalho, emitidas em resposta às múltiplas questões colocadas à CNPD relacionadas com a utilização de diversos softwares para o controlo da atividade laboral prestada em regime de teletrabalho, onde a CNPD esclarece que as normas laborais relativas à inadmissibilidade do controlo à distância do desempenho do trabalhador se mantêm aplicáveis.

Para além destas quatro iniciativas, não foram fornecidas informações adicionais relacionadas com a proteção de dados e a COVID-19 pela CNPD. Em sentido inverso, outras autoridades de supervisão, por exemplo, as suas congéneres no Reino Unido e na Alemanha, divulgaram um conjunto de elementos e de perguntas e respostas (FAQs) nos seus sítios de Internet para esclarecer questões relativas à proteção de dados decorrentes do atual contexto.

A presente situação pode implicar o tratamento de diferentes categorias de dados pessoais, incluindo de categorias especiais de dados pessoais, como é o caso dos dados de saúde, nomeadamente num contexto laboral. Não só na fase atual de propagação, mas também em fases subsequentes de estagnação e mitigação, o tratamento de dados pessoais pode ser necessário para o cumprimento de obrigações impostas por lei à entidade empregadora, por exemplo, obrigações relativas à saúde e segurança no local de trabalho, ou ao interesse público, por exemplo, para controlo de doenças e outras ameaças à saúde.

Tendo em conta que várias questões podem surgir no contexto laboral (mas não só), preparámos uma lista de perguntas e respostas (FAQs) para ajudar as organizações a responderem a estes novos desafios.

1. As entidades empregadoras podem recolher dados pessoais dos seus trabalhadores para evitar a propagação do vírus da COVID-19 no local de trabalho? Em caso afirmativo, que dados pessoais poderão ser objeto de tratamento pela entidade empregadora face ao atual contexto?

A entidade empregadora pode recolher dados pessoais dos seus trabalhadores por forma a evitar a propagação do vírus no local de trabalho, na medida em que tal seja necessário ao cumprimento dos deveres que lhes são impostos por lei (por exemplo, dever de cuidado) e à organização do trabalho nos termos da legislação laboral.

São os seguintes os critérios que devem presidir ao tratamento dos dados pessoais dos trabalhadores: (i) critério da necessidade, ou seja, o tratamento tem de ser necessário à prossecução de determinada finalidade (ou seja, se o tratamento for necessário à proteção da saúde dos trabalhadores e/ou ao cumprimento de obrigações impostas por lei, por exemplo, deveres de informação) e (ii) minimização dos dados em conformidade com o RGPD, o que significa que apenas podem ser objeto de tratamento os dados que sejam adequados, pertinentes e limitados ao que é necessário relativamente à finalidade prosseguida.

À partida, a recolha dos seguintes dados pessoais dos trabalhadores não levantará dúvidas: nome, dados de contacto, dados de contacto de outras pessoas dentro da organização, anterior ou futura permanência numa zona de elevado risco, anteriores contactos com pessoas possivelmente infetadas e ausência de sintomas. Por seu turno, os dados de saúde, os quais são considerados uma categoria especial de dados, estão sujeitos a regras específicas e que exigem critérios mais exigentes e uma inter-relação entre o RGPD, a Lei de Execução do RGPD e a legislação laboral, como melhor veremos abaixo.

2. Nestas circunstâncias, que requisitos devem as entidades empregadoras cumprir quando procedem ao tratamento de dados pessoais dos seus trabalhadores?

As entidades empregadoras podem recolher e tratar dados pessoais dos trabalhadores, incluindo dados de saúde, para determinar se (i) os trabalhadores estão infetados ou estiveram em contacto com uma pessoa infetada, ou (ii) se estiveram numa zona de risco elevado durante um determinado período.

As entidades empregadoras devem informar os trabalhadores sobre os casos COVID-19 e tomar medidas de proteção adequadas, mas não devem divulgar mais informações do que aquelas que sejam consideradas necessárias. Ou seja, as entidades empregadoras devem manter os trabalhadores informados sobre os casos de COVID-19 na sua organização, mas não devem identificar as pessoas em questão.

A divulgação de dados pessoais de pessoas infetadas (confirmadas e suspeitas) com o intuito de informar outros trabalhadores ou terceiros só é lícita se for estritamente necessário, em circunstâncias excecionais, conhecer a identidade dessa pessoa, a fim de mitigar a propagação da COVID-19 e permitir que os trabalhadores adotem as respetivas medidas de salvaguarda. Nestes casos muito excecionais (sempre que seja necessário revelar o nome dos trabalhadores que contraíram o vírus, por exemplo, num contexto preventivo), os trabalhadores em causa devem ser previamente informados e ser adotadas as medidas adequadas para assegurar a proteção da sua dignidade e integridade.

3. Qual é o fundamento jurídico para esse tratamento de dados pelas entidades empregadoras?

O tratamento de dados dos trabalhadores pode ser justificado pelo facto de o tratamento ser necessário para efeitos de prossecução de interesses legítimos da entidade empregadora e/ou de terceiros (artigo 6/1(f) RGPD).

Por sua vez, o tratamento de dados de saúde pode ser justificado se esse tratamento for necessário para efeitos do cumprimento de obrigações e do exercício de direitos específicos da entidade empregadora em matéria de legislação laboral, de segurança social e de proteção social (artigo 9/2(b) RGPD).

Neste âmbito, é ainda relevante ter em conta a inter-relação entre o RGPD, a Lei de Execução do RGPD e a legislação laboral, em particular:

(a)         O artigo 28.º/1 da Lei de Execução do RGPD, que estabelece que a entidade empregadora pode proceder ao tratamento dos dados pessoais dos trabalhadores para efeitos e dentro dos limites previstos no Código de Trabalho;

(b)        O artigo 17.º/1(b) do Código do Trabalho, que estabelece que a entidade empregadora não pode pedir a um trabalhador que divulgue dados de saúde, salvo quando circunstâncias excecionais relacionadas com a atividade profissional possam justificar essa divulgação e os respetivos fundamentos sejam fornecidos por escrito pela entidade empregadora. Os dados de saúde são fornecidos a um médico, que apenas pode informar a entidade empregadora se o trabalhador se encontra ou não apto ao exercício da sua atividade profissional; e

(c)         O artigo 29.º/2 da Lei de Execução do RGPD, que estabelece que categorias especiais de dados, nomeadamente dados de saúde, podem ser tratados por  razões de interesse público no domínio da saúde pública, tais como a proteção contra graves ameaças transfronteiriças à saúde, e que devem ser adotadas medidas adequadas e específicas para salvaguardar os direitos e liberdades do titular dos dados, nomeadamente  o sigilo profissional.

Isto significa que o fundamento jurídico relativo à prossecução de interesses legítimos da entidade empregadora e, relativamente aos dados de saúde, o fundamento jurídico relativo ao cumprimento de obrigações e do exercício de direitos específicos em matéria de legislação laboral, resultam do dever geral de cuidado da entidade empregadora para com os seus trabalhadores. Os dados de saúde devem ser tratados pela entidade empregadora, por meio de um profissional de saúde sujeito a sigilo profissional, o que significa que não podem, em princípio, ser divulgados a outros trabalhadores, salvo em circunstâncias excecionais e na medida em que tal se revele necessário para evitar a propagação da COVID-19 no local de trabalho.

Ao abrigo do dever de cuidado, a entidade empregadora deve assegurar a proteção da saúde de todos os seus trabalhadores, o que inclui igualmente uma resposta adequada à divulgação da COVID-19, para efeitos de prevenção e rastreabilidade (isto é, subsequente prevenção relativamente a pessoas que estiveram em contacto com os trabalhadores infetados ou potencialmente infetados).

Note-se ainda que o RGPD inclui derrogações à proibição do tratamento de determinadas categorias especiais de dados pessoais, tais como os dados de saúde, sempre que seja necessário por motivos de interesse público no domínio da saúde pública, tais como a proteção contra ameaças transfronteiriças graves para a saúde (artigo 9.º/2(i) RGPD), ou quando for necessário proteger os interesses vitais das pessoas (artigo 9.º/2(e) RGPD), quando o tratamento não se puder basear manifestamente noutro fundamento jurídico. Como refere considerando 46 do RGPD, alguns tipos de tratamento podem servir tanto importantes interesses públicos como interesses vitais do titular dos dados, por exemplo, se o tratamento for necessário para fins humanitários, incluindo a monitorização de epidemias e da sua propagação.

Por sua vez, o consentimento dos trabalhadores não pode ser considerado como um fundamento jurídico lícito, uma vez que, numa relação laboral, existe um claro desequilíbrio entre os trabalhadores (titulares de dados) e a entidade empregadora (responsável pelo tratamento). É pouco provável que o consentimento dos trabalhadores seja livremente dado no contexto de uma relação laboral.

4. As entidades empregadoras podem proceder ao tratamento de dados pessoais de visitantes do local de trabalho para fins relacionados com a COVID-19?

Sim, as entidades empregadoras podem proceder ao tratamento de dados pessoais dos visitantes do local de trabalho para fins relacionados com a COVID-19 para determinar se (i) estão infetados ou estiveram em contacto com uma pessoa infetada, ou (ii) estiveram numa zona de risco elevado durante determinado período, e desde que as medidas a adotar sejam proporcionais.

As medidas relativas a terceiros que exijam o tratamento de dados de saúde podem ser justificadas ao abrigo do RGPD se o tratamento for necessário por motivos de interesse público no domínio da saúde pública, tais como a proteção contra ameaças transfronteiriças graves para a saúde, prevendo-se a adoção de medidas adequadas e específicas que salvaguardem os direitos e liberdades do titular dos dados, em particular o sigilo profissional (artigo 9/2(i) do RGPD).

O consentimento dos visitantes (titulares de dados) só pode ser considerado como um fundamento jurídico lícito em matéria de medidas de combate à COVID-19 se cumprir todos os requisitos do consentimento previstos no RGPD, incluindo se os visitantes forem informados sobre o tratamento de dados e puderem dar o seu consentimento de forma voluntária. Isto significa que os visitantes devem estar cientes, pelo menos, da identidade do responsável pelo tratamento de dados (a organização) e das finalidades de tratamento a que os dados pessoais se destinam no contexto da COVID-19.

5. A entidade empregadora pode recolher números de telemóvel e endereços de correio eletrónico privados dos seus trabalhadores?

Durante a pandemia, o recurso ao teletrabalho surge, quando seja possível, como uma alternativa viável para evitar deslocações ao local de trabalho e contacto físico com outros trabalhadores ou terceiros. Por isso, tornou-se uma realidade trabalhar a partir de casa com recurso aos dispositivos ou equipamentos de comunicações dos próprios trabalhadores.

Além do mais, neste contexto, pode revelar-se necessário proceder à recolha de números de telemóvel e endereços de correio eletrónico privados dos trabalhadores, o que é lícito, se esses dados pessoais forem utilizados para assegurar a "disponibilidade contínua" (mas não ininterrupta) dos trabalhadores durante a atual crise da COVID-19, nomeadamente quando estejam no referido regime de teletrabalho.

Pode também ser necessário recorrer à utilização desses dados se, por exemplo, a infraestrutura de tecnologias de informação da própria organização ficar sobrecarregada ou caso se verifique um problema técnico que cause uma interrupção nas comunicações, revelando-se necessário recorrer ao telemóvel ou ao endereço de correio eletrónico privados dos colaboradores para efeitos de comunicação para fins laborais. Nesta situação, deve ser assegurado, na medida do possível, que não são partilhados dados sensíveis através de meios de comunicação que não sejam considerados seguros, nomeadamente através do correio eletrónico, por forma a salvaguardar o risco de acesso não autorizado aos dados por terceiros.

Na verdade, deve ser adotado o mesmo tipo de medidas de segurança em regime de teletrabalho do que aquelas que são adotadas em circunstâncias normais, por exemplo, encriptação de hardware e software, um sistema de autenticação de password em dois/três níveis, manter ficheiros de registo de acessos (log in).

Além do mais, os dados só podem ser utilizados para a finalidade pretendida e devem ser imediatamente eliminados após cessar a finalidade de tratamento.

6. As entidades empregadoras podem utilizar soluções tecnológicas para controlo remoto do desempenho dos seus trabalhadores em regime de trabalho à distância? Por exemplo, podem ser gravadas chamadas de videoconferência entre trabalhadores?

De acordo com as recentes orientações emitidas pela CNPD, a regra geral de proibição de utilização de meios de vigilância à distância, com a finalidade de controlar o desempenho profissional do trabalhador, é plenamente aplicável à realidade de teletrabalho. Aliás, à mesma conclusão sempre se chegaria pela aplicação dos princípios da proporcionalidade e da minimização dos dados pessoais, uma vez que a utilização de tais meios implica uma restrição desnecessária e seguramente excessiva da vida privada do trabalhador.

Por esta razão, soluções tecnológicas para controlo à distância do desempenho do trabalhador não são admitidas ao abrigo do RGPD e demais legislação aplicável. Refere a CNPD que são disso exemplo os softwares que, para além do rastreamento do tempo de trabalho e de inatividade, registam as páginas de Internet visitadas, a localização do terminal em tempo real, as utilizações dos dispositivos periféricos (ratos e teclados), fazem captura de imagem do ambiente de trabalho, observam e registam quando se inicia o acesso a uma aplicação, controlam o documento em que se está a trabalhar e registam o respetivo tempo gasto em cada tarefa (por exemplo, “TimeDoctor”, “Hubstaff”, “Timing”, “Manic Time”, “TimeCamp”, “Toggl”, “Harvest”).

Ferramentas deste tipo recolhem manifestamente em excesso dados pessoais dos trabalhadores, promovendo o controlo do trabalho num grau muito mais detalhado do que aquele que pode ser legitimamente realizado no contexto da sua prestação nas instalações da entidade empregadora. E a circunstância de o trabalho estar a ser prestado a partir do domicílio não justifica uma maior restrição da esfera jurídica dos trabalhadores. Nessa medida, a recolha e o subsequente tratamento daqueles dados violam o princípio da minimização dos dados pessoais e são, portanto, proibidos. 

Do mesmo modo, não é admissível impor ao trabalhador que mantenha a sua câmara de vídeo permanentemente ligada, nem será, em princípio, de admitir a possibilidade de gravação de videochamadas entre a entidade empregadora e os trabalhadores.

Apesar da inadmissibilidade da utilização de tais ferramentas, a CNPD salienta, todavia, a entidade empregadora mantém o poder de controlar a atividade do trabalhador, o que poderá fazer, designadamente, fixando objetivos, criando obrigações de reporte com a periodicidade que entenda, marcando reuniões em teleconferência.

7. Os ficheiros de trabalhadores podem ser objeto de tratamento no domicílio de um trabalhador (por exemplo, pelo pessoal de Recursos Humanos)?

O tratamento dos ficheiros de trabalhadores só pode ocorrer no domicílio de um outro trabalhador, que faça, por exemplo, parte do Departamento de Recursos Humanos, em circunstâncias excecionais, ou seja, se esse tratamento for estritamente necessário e na medida em que sejam tomadas medidas técnicas e organizativas adequadas para proteger os dados pessoais contra a sua perda, destruição ou danificação acidental, incluindo, por exemplo, encriptação de hardware e software, um sistema de autenticação de senha em dois/três níveis, ficheiros de registo de acesso, não impressão de documentos no domicílio.

Se precisar de mais esclarecimentos ou assistência em quaisquer questões relacionadas com questões de proteção de dados pessoais, não hesite em contactar-nos.

Ver pdf Partilhar

A Comissão Europeia apresentou recentemente orientações para o desenvolvimento de aplicações de rastreio de contactos e de alerta na luta contra a COVID-19, as quais podem ter um impacto significativo na erradicação do vírus e desempenhar um papel importante na estratégia de levantamento das medidas de contenção.

Essas aplicações podem ser dotadas: (i) informações exatas sobre a pandemia COVID-19 para os utilizadores; (ii) questionários de autodiagnóstico e orientações para os utilizadores (funcionalidade de controlo de sintomas); (iii) notificação de alerta às pessoas que tenham estado na proximidade de uma pessoa infetada, para que sejam testadas ou se isolem (funcionalidades de rastreio de contactos e de alerta); e/ou (iv) um fórum de comunicação entre pacientes em autoisolamento e médicos, nomeadamente fornecendo diagnósticos mais aprofundados e aconselhamento em matéria de tratamento (telemedicina).

Atendendo à natureza extremamente sensível dos dados (em particular, dados de saúde) e à finalidade das aplicações, estas devem cumprir o Regulamento Geral sobre a Proteção de Dados (RGPD) e a Diretiva de Privacidade Eletrónica, e ser implementadas em estreita coordenação com as autoridades de saúde pública e as autoridades nacionais de proteção de dados.

Os utilizadores devem manter o controlo total sobre os dados pessoais, o que pressupõe que deem o seu prévio consentimento (cumprindo os requisitos do RGPD) e separadamente para cada funcionalidade de uma aplicação. Em caso de utilização de dados de proximidade, estes devem ser conservados no dispositivo do utilizador e só devem ser partilhados com o seu prévio consentimento; os utilizadores devem poder exercer os seus direitos ao abrigo do RGPD, pelo que, entre outros, poderão, a qualquer momento, retirar o seu consentimento.

As aplicações devem respeitar o princípio de minimização dos dados, pelo que só podem ser tratados os dados pessoais relevantes e limitados à finalidade em causa. Por exemplo, para efeitos de rastreio de contactos, a Comissão Europeia considera que os dados de localização não são necessários, pelo que não aconselha a sua utilização.

As regras da UE exigem que os dados pessoais tratados sejam exatos, pelo que a Comissão Europeia considera que devem ser utilizadas tecnologias como o Bluetooth, para avaliar com maior precisão o contacto entre os diferentes utilizadores. Os dados devem ser conservados no dispositivo do utilizador e encriptados, bem como só devem ser conservados durante o período necessário, em termos médicos, e durante a vigência das medidas de contenção.

Para o êxito destas aplicações é fundamental a confiança dos cidadãos e que se sintam seguros com a sua utilização, o que deve ser assegurado mediante um estrito cumprimento das regras da UE de proteção de dados pessoais.

Ver pdf Partilhar

Foi publicada a 8 de agosto a Lei n.º 58/2019, que assegura a execução do Regulamento Geral de Proteção de Dados (RGPD) na ordem jurídica portuguesa. Destacamos abaixo as disposições mais relevantes:

• A obrigatoriedade de designação de encarregados de proteção de dados nas entidades públicas. Para este efeito, incluem-se nas entidades públicas, para além do Estado, regiões autónomas e autarquias locais, as empresas do setor empresarial do Estado.
• A limitação da prestação do consentimento prévio exigido pelo RGDP a menores que já tenham completado 13 (treze) anos de idade. Nos restantes casos, o tratamento de dados só é lícito se o consentimento for prestado pelos representantes legais do menor.
• Em caso de incumprimento da lei ou do RGPD, a aplicação de coimas entre 1.000€ e 2.000.000€, no caso das pequenas e médias empresas, e entre 2.000€ e 20.000.000€, no caso das grandes empresas. As entidades públicas também estão sujeitas à aplicação de coimas. Contudo, podem solicitar à Comissão Nacional de Proteção de Dados (CNPD) a sua dispensa pelo prazo de três anos.
• Os dados recolhidos só poderão ser conservados pelo prazo que vier a ser fixado por norma legal ou regulamentar ou, na falta desta, pelo prazo que se mostre necessário para a prossecução da finalidade para o qual foram recolhidos. Quando os dados sejam necessários para comprovar o cumprimento de obrigações contratuais, o prazo de conservação cessa quando cessar o prazo de prescrição dos direitos a que se reportam.
• O consentimento do titular dos dados não é exigido no âmbito laboral se do tratamento resultar uma vantagem jurídica ou económica para o trabalhador ou se o tratamento for necessário para a execução de um contrato no qual o titular dos dados é parte, ou para diligências pré-contratuais a pedido deste.
• A imposição de limites aos sistemas de videovigilância, quando admitidos nos termos da  Lei n.º 34/2013, de 16 de maio, estabelecendo áreas sobre as quais as câmaras não podem incidir e proibindo, exceto com o consentimento prévio da CNPD, a captação de som.
• A alteração da Lei n.º 43/2004, de 18 de agosto, que regula a organização e o funcionamento da CNPD.

A nova lei entrou em vigor no dia 9 de agosto e mantém em vigor toda a legislação portuguesa de proteção de dados em tudo o que não contrarie o diploma ou o RGPD.

Ver pdf Partilhar

Na semana em que o RGPD completa um ano de aplicação, a ECO Online falou com Cláudia Martins, advogada especialista em proteção de dados, da Macedo Vitorino & Associados. Segundo a advogada “o RGPD não é inconsequente. A aplicação que, neste momento, ainda está a ser feita é que poderá estar a ser inconsequente”.

Leia o artigo na íntegra, publicado na ECO, no pdf. 

Ver pdf Partilhar

Um ano após a entrada em vigor do novo Regime Geral da Proteção de Dados, o Jornal de Negócios faz um balanço em primeira linha de como as organizações (não) se estão a adaptar ao regime.

Segundo a advogada Cláudia Fernandes Martins, especialista em proteção de dados na Macedo Vitorino & Associados, embora tenha existido «(...) um “esforço proativo” por parte de entidades privadas e públicas (…), isto não significa que a maioria das organizações tenha implementado as medidas necessárias para atuarem em conformidade com o RGPD (...).» Confirma ainda que «existem atrasos na implementação do RGPD ao nível do setor público».

Se quiser saber mais, leia o artigo na íntegra no pdf. 

Ver pdf Partilhar

“RGPD seis meses depois” é o título do artigo de opinião publicado no jornal Negócios

Cláudia Martins, advogada sénior da Macedo Vitorino & Associados faz um balanço quase seis meses após a aplicação do Regulamento e refere “muitas empresas privadas, grandes, médias e pequenas, e ainda outras empresas e entidades do setor público não implementaram o RGPD de forma completa e rigorosa.”

A advogada acrescenta ainda que é importante as organizações reverem de forma correta, os seus procedimentos de proteção de dados.

Leia o artigo de opinião no pdf.

Ver pdf Partilhar